390.2 ディレクトリの保護

今回は300試験の試験範囲から「390.2 ディレクトリの保護」についての例題を解いてみます。

■トピックの概要
このトピックの内容は以下の通りです。

＜390.2 ディレクトリの保護＞
重要度 3

＜説明＞
LDAPディレクトリに対する暗号化アクセスを設定し、ファイアウォールレベルでアクセスを制限できること。

＜主要な知識範囲＞
・SSL/TLSを用いてLDAPディレクトリのセキュリティを保護
・ファイアウォール設定の考慮事項
・非認証バインド
・ユーザ名／パスワード認証方式
・SASLユーザデータベースの保守
・クライアント／サーバ証明書

＜重要なファイル、用語、ユーティリティ＞
・SSL / TLS
・セキュリティ強度係数 (SSF)
・SASL
・プロキシ認証
・StartTLS
・iptables

■例題
OpenLDAPでSSL/TLSを使用して通信を保護するために不要なものを選びなさい。

1. CA（認証局）の証明書
2. サーバ証明書
3. サーバの秘密鍵
4. クライアント証明書

※この例題は実際のLinuC試験とは異なります。

OpenLDAPとの通信を行うLDAPプロトコルをSSL/TLSで保護するには、HTTPS同様に各種暗号鍵、証明書を用意する必要があります。

まず、OpenLDAPサーバが使用するサーバ証明書が必要となります。サーバ証明書はCA（認証局）による電子署名が必要になりますが、小規模でプライベートな保護を行うのであれば、OpenSSLを使って自分でCAを作成する方法も選択できます。電子署名は、CAの秘密鍵が使用されます。

CAが電子署名したサーバ証明書には、CAの公開鍵が含まれます。サーバ証明書が正しいことを検証するには、このCA公開鍵が必要となります。CAの公開鍵は、OpenLDAPサーバに接続するLDAPクライアントにインストールする必要があります。

SSL/TLSで保護されたOpenLDAPサーバを動かすには、サーバの秘密鍵も必要になります。LDAPクライアントがサーバ証明書に含まれるサーバの公開鍵で暗号化した情報を、OpenLDAPサーバが復号するするために使用されます。

クライアント証明書は、接続認証を目的に使用します。たとえばOpenVPNなどでVPN環境を構築する際に、クライアント証明書を所有しているユーザーのみ接続を許可するなどの用途に使用されます。LDAPの通信を保護するという目的においては、クライアント証明書は必要ありません。

■例題作成者
株式会社びぎねっと　代表取締役社長　宮原徹氏

※上記の解説とその内容については、例題作成者の監修です。